โปรแกรมรางวัลการรายงานช่องโหว่ Cloudbet
บทนำ
Halcyon Super Holdings BV (ต่อจากนี้เรียกว่า “Cloudbet” หรือ “เรา”) เป็นเจ้าของและผู้ดูแลจัดการ www.cloudbet.com Cloudbet คือแพลตฟอร์มออนไลน์ด้านความบันเทิงผ่านคริปโตชั้นนำที่มุ่งมั่นที่จะรักษามาตรฐานความสมบูรณ์และความปลอดภัยสูงสุดสำหรับประสบการณ์การเล่นเกมของเรา เพื่อเป็นส่วนหนึ่งของความมุ่งมั่นของเราที่มีต่อความปลอดภัยและความเป็นส่วนตัว เราจึงเปิดตัวโครงการ Bug Bounty (ตามล่าหาข้อบกพร่อง) เพื่อส่งเสริมให้เหล่านักวิจัยและผู้ที่ให้ความสำคัญกับความปลอดภัยสามารถระบุและรายงานช่องโหว่ต่างๆ ในแพลตฟอร์มของเราได้
รางวัลและการกำหนดลำดับความสำคัญ
- รางวัลตอบแทนสำหรับการตามล่าหาข้อบกพร่องจะจ่ายเป็นสกุล USDT โดยจะแบ่งประเภทรายงานตามลำดับความสำคัญ
- จะจ่ายรางวัลตามดุลยพินิจของเราแต่เพียงผู้เดียว โดยไม่มีขีดจำกัดขั้นต่ำสุดหรือสูงสุดที่เข้มงวดกำหนด อย่างไรก็ตาม เราคาดว่าจะต้องจ่ายเงินมากกว่านี้อย่างมาก (US$10,000 หรือมากกว่า) สำหรับปัญหาร้ายแรงโดยเฉพาะ
- หากต้องการมีสิทธิ์รับรางวัล คุณต้องเป็นคนแรกที่แจ้งให้เราทราบถึงปัญหาที่จำเป็นต้องเปลี่ยนแปลงโค้ดหรือการกำหนดค่าซึ่งไม่มีใครทราบมาก่อน
ระดับช่องโหว่
- รางวัลสำหรับช่องโหว่ที่เข้าเงื่อนไขนั้นจะแตกต่างกันไป ทั้งนี้ขึ้นอยู่กับผลกระทบและความรุนแรงของข้อบกพร่องที่รายงานตามที่ทีมรักษาความปลอดภัยของเรากำหนดไว้
- ระดับช่องโหว่จะเรียงตามลำดับความสำคัญและผลตอบแทนจากน้อยไปมาก ได้แก่ ระดับข้อมูลประกอบ ระดับต่ำ ระดับกลาง ระดับสูง และระดับร้ายแรง
- ระดับต่ำคือปัญหาที่ส่งผลกระทบน้อย เช่น การกำหนดค่าทางเทคนิคที่ผิดพลาด ในขณะที่ระดับสูงนั้นจะรวมถึงปัญหาร้ายแรงต่างๆ ด้วย เช่น ข้อบกพร่องของสัญญาอัจฉริยะ การรั่วไหลของคีย์ส่วนตัวของกระเป๋าเงิน ฯลฯ ซึ่งอาจทำให้ธุรกิจหยุดชะงักหรือเกิดความสูญเสียทางการเงินได้อย่างมาก
ขอบเขต
ในขอบเขต
- เว็บไซต์ Cloudbet.com และบริการที่เกี่ยวข้อง
- API ของ Cloudbet, บล็อกเชน และช่องโหว่ในโครงสร้างพื้นฐาน
- ช่องโหว่ในสัญญาอัจฉริยะที่เกี่ยวข้องกับ Cloudbet
นอกขอบเขต
ผลการค้นพบต่อไปนี้จะไม่รวมอยู่ในโครงการ Bug Bounty และเราขอให้คุณงดเว้นการพยายามรายงานหรือดำเนินการดังต่อไปนี้:
- ความพยายามทางกายภาพใดๆ ในการเข้าถึงคุณสมบัติของ Cloudbet
- การใช้กลยุทธ์ทางสังคม (เช่น ฟิชชิ่ง) เพื่อรับข้อมูลส่วนตัว
- การปฏิเสธการให้บริการ (DoS/DDoS)
- ช่องโหว่ในบริการของบุคคลที่สามซึ่งเชื่อมโยงกับ Cloudbet
- การกำหนดค่าทางเทคนิคที่ผิดพลาดเล็กน้อยหรือปัญหาบนหน้าที่ไม่มีข้อมูลละเอียดอ่อน
- การดำเนินการใดๆ ที่มีลักษณะคล้ายกับรายการข้างต้นซึ่งยังไม่ครบถ้วนสมบูรณ์
การส่งรายงาน
ในรายงานของคุณต้องประกอบไปด้วย:
- ขั้นตอนโดยละเอียดในการจำลองช่องโหว่ขึ้นอีกครั้ง
- หลักฐานที่ตรวจสอบได้ว่ามีช่องโหว่อยู่จริง เช่น ภาพถ่ายหน้าจอ วิดีโอ หรือสคริปต์ รวมถึง URL ที่ใช้เปิดเผยช่องโหว่ดังกล่าว โปรดส่งหลักฐานนี้เป็นไฟล์แนบทางอีเมล และอย่าส่งผ่านบริการบุคคลที่สามที่สาธารณะชนสามารถเข้าถึงได้
- โปรดส่งรายงานของคุณไปที่ [email protected] เราจะดำเนินการกับรายงานที่มีความสำคัญระดับกลางขึ้นไปภายใน 7 วันทำการ สำหรับรายงานที่มีความสำคัญระดับต่ำหรือรายงานเพื่อจุดประสงค์ในการแจ้งข้อมูลเป็นหลัก เราจะตอบกลับภายใน 30 วัน ทุกรายงานล้วนมีคุณค่า แต่รายงานสแปมจะไม่ได้รับความสนใจ โปรดดูคำแนะนำในการรายงานของเราสำหรับการส่งรายงานที่ถูกต้อง เราพยายามที่จะอัปเดตให้คุณทราบเกี่ยวกับความคืบหน้าของทุกรายงาน แม้ว่าจะไม่มีทางแก้ไขได้ทันทีก็ตาม โปรดอย่าส่งอีเมลเพื่อขอรับทราบข้อมูลอัปเดตเกี่ยวกับรายงานข้อบกพร่องที่ได้รับการยืนยันแล้ว เนื่องจากไม่ได้ช่วยให้กระบวนการแก้ไขเร็วขึ้น
ข้อยกเว้นความรับผิด
เพื่อส่งเสริมการวิจัยด้านการรักษาความปลอดภัยและเพื่อหลีกเลี่ยงความสับสนระหว่างการแฮ็กโดยสุจริตกับการโจมตีที่เป็นอันตราย เราขอให้คุณปฏิบัติตามหลักเกณฑ์ต่อไปนี้:
- ห้ามใช้ช่องโหว่ในการเข้าถึง แก้ไข ทำร้าย หรือเปลี่ยนแปลงข้อมูลที่ไม่ใช่ของคุณ
- ห้ามใช้ประโยชน์จากช่องโหว่ใดๆ ยกเว้นเพื่อจุดประสงค์ในการสาธิตให้เราเห็นเท่านั้น
- ห้ามทำการโจมตีแบบปฏิเสธการให้บริการ (DoS/DDoS) ระดับเครือข่ายต่อระบบของเรา
- ห้ามมุ่งเป้าไปที่พนักงานและลูกค้าของเรา
- ห้ามรายงานช่องโหว่โดยมีเงื่อนไข ความต้องการ หรือเรียกค่าไถ่
หากคุณปฏิบัติตามหลักเกณฑ์เหล่านี้ เราจะให้คำมั่นว่าเรา:
- จะไม่ ดำเนินคดีทางกฎหมายกับคุณหรือรายงานคุณสำหรับการวิจัยด้านการรักษาความปลอดภัยโดยสุจริต รวมถึงการหลีกเลี่ยงมาตรการทางเทคโนโลยีที่เราใช้เพื่อปกป้องแอปพลิเคชันที่อยู่ในขอบเขต และ
- จะ ให้การสนับสนุนคุณ หากบุคคลที่สามดำเนินคดีทางกฎหมายกับคุณเกี่ยวกับการวิจัยด้านการรักษาความปลอดภัยโดยสุจริตของคุณ
คุณควรติดต่อเราเพื่อขอคำชี้แจงก่อนที่จะตอบโต้พฤติกรรมที่คุณคิดว่าอาจขัดกับการวิจัยด้านการรักษาความปลอดภัยโดยสุจริตหรือไม่ได้ระบุไว้ในนโยบายของเรา
พึงระลึกไว้ว่าเราไม่สามารถอนุญาตให้มีการวิจัยด้านการรักษาความปลอดภัยบนโครงสร้างพื้นฐานของบุคคลที่สามได้ และบุคคลที่สามจะไม่ผูกพันตามคำชี้แจงข้อยกเว้นความรับผิดนี้
การปฏิบัติตามกฎ
- คุณต้องดำเนินการด้วยความสุจริตและปฏิบัติตามกฎหมายและระเบียบข้อบังคับที่มีผลบังคับใช้ทั้งหมด รวมถึงกฎหมายและระเบียบข้อบังคับในเขตอำนาจศาลของคุณที่ดำเนินการวิจัยด้านการรักษาความปลอดภัยด้วย
- คุณต้องปฏิบัติตามข้อกำหนดด้านการออกใบอนุญาต การประกัน ความเป็นส่วนตัว หรือกฎระเบียบอื่นๆ ที่เกี่ยวข้องทั้งหมด และคุณเป็นผู้รับผิดชอบแต่เพียงผู้เดียวสำหรับค่าตอบแทน การออกใบอนุญาต ค่าธรรมเนียมการกำกับดูแล การประกัน หรือค่าใช้จ่ายอื่นๆ ที่เกี่ยวข้อง และหน้าที่ทางกฎหมายที่คุณต้องปฏิบัติตามในฐานะนักวิจัยด้านการรักษาความปลอดภัยเพื่อรับผลตอบแทนอันเป็นส่วนหนึ่งของโครงการ Bug Bounty ของเรา
การเปลี่ยนแปลงในโครงการ Bug Bounty ของ Cloudbet
- Cloudbet ขอสงวนสิทธิ์ในการเปลี่ยนแปลงรายละเอียดใดๆ ทั้งหมดของโครงการ Bug Bounty ที่คุณเห็นในเอกสารฉบับนี้ได้ตลอดเวลาโดยไม่ต้องแจ้งให้ทราบล่วงหน้า ซึ่งการแก้ไขและการเพิ่มข้อมูลดังกล่าวนั้นจะมีผลทันที
- คุณมีหน้าที่รับผิดชอบในการตรวจทานเอกสารนี้เป็นระยะๆ เพื่อดูว่ามีการปรับเปลี่ยนในโครงการ Bug Bounty ที่อาจส่งผลต่อสิทธิ์หรือภาระผูกพันของคุณหรือไม่
เบ็ดเตล็ด
การมีส่วนร่วมของคุณในโครงการ Bug Bounty จะไม่ถือเป็นหรือตีความว่าเป็นหุ้นส่วน การร่วมทุน หรือความสัมพันธ์ตัวแทนระหว่างคุณกับ Cloudbet
ในขอบเขตสูงสุดเท่าที่กฎหมายจะอนุญาต ในทุกกรณี Cloudbet จะไม่รับผิดชอบต่อความเสียหายโดยตรง พิเศษ โดยบังเอิญ เป็นตัวอย่าง เป็นการลงโทษ หรือเป็นผลสืบเนื่อง (รวมถึงการสูญเสียการใช้งาน ข้อมูล ธุรกิจ หรือผลกำไร) ที่เกิดขึ้นจากหรือเกี่ยวข้องกับการเข้าร่วมในโครงการ Bug Bounty ของคุณ ไม่ว่าความรับผิดดังกล่าวจะเกิดจากการเรียกร้องใดๆ ตามสัญญา การรับประกัน การละเมิด (รวมทั้งการประมาทเลินเล่อ) ความรับผิดโดยเคร่งครัด หรืออื่นใด และไม่ว่า Cloudbet จะได้รับคำแนะนำเกี่ยวกับความเป็นไปได้ของการสูญเสียหรือความเสียหายดังกล่าวหรือไม่ก็ตาม